Nieuwe dos-aanval "BlackNurse" tegen firewalls onthuld
Onderzoekers hebben een nieuw soort dos-aanval onthuld waarmee firewalls en routers kunnen worden aangevallen. De aanval heeft de naam BlackNurse gekregen en is een ICMP-aanval. Het Internet Control Message Protocol (ICMP) is een protocol voor het versturen van berichten tussen ip-systemen.
Netwerkapparaten zoals routers gebruiken het om aan te geven dat een dienst, host of router niet bereikbaar is. ICMP wordt al geruime tijd gebruikt voor het uitvoeren van dos-aanvallen. Deze aanvallen zijn gebaseerd op ICMP Type 8 Code 0 en staan ook bekend als ping flood-aanvallen. BlackNurse is echter gebaseerd op ICMP met Type 3 Code 3-pakketten. "We weten dat als een gebruiker ICMP Type 3 Code 3 naar externe interfaces toestaat, de BlackNurse-aanval zelfs met weinig bandbreedte zeer effectief wordt", aldus de onderzoekers die de aanval onthulden.
Het zou in dit geval al voldoende zijn om aanvalsverkeer van 15 tot 18 Mbit/s te versturen. Eén enkele laptop zou in dit geval al voldoende zijn voor het uitvoeren van de aanval. Het maakt daarbij niet uit of de aangevallen partij over meer bandbreedte beschikt. De aanval zal in de meeste gevallen de processor zo zwaar belasten, waardoor gebruikers aan de lan-kant van de firewall geen verkeer meer van en naar het internet kunnen versturen en ontvangen.
"De BlackNurse-aanval heeft onze aandacht gekregen, want met onze anti-ddos-oplossing zagen we dat hoewel het verkeer erg weinig was, de aanval er toch voor kon zorgen dat klanten niets meer konden. Dit was ook van toepassing op klanten met grote internet-uplinks en grote zakelijke firewalls", aldus het beveiligingsteam van de Deense telecomprovider TDC in een rapport over BlackNurse (pdf). Het beveiligingsteam adviseert om ICMP Type 3-berichten aan de wan-interface van Cisco ASA-firewalls niet te accepteren. Netwerkbeveiligingsbedrijf Netresec maakte deze analyse van de aanval.
"type 3 code 3" dat klinkt ZOOOO veel interessanter dan "destination unreachable - port unreachable"
Maar los daarvan, dit gaat niet over "firewalls" maar over 1 specifieke firewall die dit kennelijk dom afhandelt.
Want blokkeren moet je dit verkeer zeker niet, tenminste als je je netwerk niet kapot wilt maken.
(dan is de steker eruit trekken wellicht ook te overwegen, werkt altijd goed)
"type 3 code 3" dat klinkt ZOOOO veel interessanter dan "destination unreachable - port unreachable"
Maar los daarvan, dit gaat niet over "firewalls" maar over 1 specifieke firewall die dit kennelijk dom afhandelt.
Want blokkeren moet je dit verkeer zeker niet, tenminste als je je netwerk niet kapot wilt maken.
(dan is de steker eruit trekken wellicht ook te overwegen, werkt altijd goed)
A 20+ years old attack. Which, sadly, still made my home router crash with a kernel panic.
https://www.reddit.com/r/netsec/comments/5c7g10/the_blacknurse_attack/
Blacknurse apparently makes the CPU hot on:
Cisco ASA 5515, 5525 (default settings)
SonicWall
"Some unverified Palo Alto"
Maybe more
"type 3 code 3" dat klinkt ZOOOO veel interessanter dan "destination unreachable - port unreachable"
Het doet het ook altijd goed als je een pakkende naam bedenkt en een dag vantevoren paniek zaait.
Met als gevaar dat men het niet meer gelooft als er echt iets aan de hand is.
Peter
Het ging ook over FIREWALLs ;)
Maar even serieus: het artikel zelf beperkt zich tot Cisco ASAs.
"Some unverified Palo Alto"
Ik kan uit betrouwbare bron melden: ALLE Palo alto's hebben er last van. Juniper SRX en J series lijken safe ATM.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
Digital Forensic Researcher Mobile Device Hacking
Netherlands Forensic Institute (NFI)
As a digital expert in the field of mobile device hacking, you will strengthen the Digital Technology team. Your challenge? Reverse engineer the workings and security of mobile consumer devices.
Privacy Officer / CISO
Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!
IT Security Officer
Wil jij werken bij een organisatie die het belang van informatiebeveiliging en privacy inziet en zich realiseert dat dit continue aandacht vergt? Als IT Security Officer bij Zaanstad heb je een coördinerende, ondersteunende en adviserende rol op het gebied van informatiebeveiliging. Een veelzijdige en uitdagende functie!
Digital Forensic Researcher
Netherlands Forensic Institute (NFI)
Immerse yourself in research projects covering the analysis, reparation, and accessing of modern integrated circuits at various levels, from packages to components. In addition, contribute to law enforcement in the Netherlands. You will only find that unique combination at the NFI, where you get to work as a digital forensic researcher and examiner.
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.